NetworkDesign第四章逻辑网络设计

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,NETWORK DESIGN,4,-,127,Network,Design,第四章 逻辑网络设计,中国科学技术大学网络学院 李艺,第一章 概述,第二章 用户需求分析,第三章 现有网络分析,第四章 逻辑网络设计,第五章 网络设备选择,第六章,WAN,接入设计,第七章 网络介质设计,第八章 网络设计案例,4.1,逻辑设计概述,4.2,物理层的考虑,4.3,网络设备的考虑,4.4,网络拓扑结构考虑,4.5,网络管理的考虑,4.6 TCP/IP,寻址的考虑,4.7,网络安全的考虑,4.8,防火墙的考虑,4.9,冗余设计,4.10,编写逻辑设计档案,4.1 逻辑设计概述,确定逻辑设计目标,运行成本最低；需要权衡的是：最小运行成本、最少安装成本、最高的运行性能、最大的适应性、最大的安全性和可靠性、最短的故障时间。,整体性能要好，成本与性能是一个两难选择；,用户操作简单，尽量简化；,安全性好；确定需要安全保护的系统，进行风险分析。,具有良好的适应性和灵活性，这是技术层面的评价，主要考虑：,广播（后台）通信，网络配置不当，会产生大量的后台广播；,连接类型，无连接与面向连接。在稳定传输率下传输大量信息，如视频，最适合于面向连接的协议；如果是突发性的传输，如,C/S,服务，则适合无连接协议；,可升级性，必须保证网络和应用程序具有可扩展性。,作出技术选择。,4.2 物理层的考虑,用需求和流量说明书作为指导,开始设计物理层前，阅读对需求和流量进行总结的建议，重点放在那些通过特别选择的物理层技术能够部分或全部实现的需求上。,增长与可升级性：将来对网络的添加、升级，要考虑安装或重配置的难易程度。,响应时间、带宽和数据传输率：用户需要多大的带宽？广域网连接是否超负荷？主干网或高性能工作组比广域网应用有更多的需求吗？,可靠性、可恢复性：必须从下至上实施。物理传输技术能持续可用吗？信息蜂拥时，无线连接也能工作吗？周围环境有电磁干扰吗？,网络安全：物理层的网络安全是未经授权而非法访问网络介质，主要防范利用监听线缆来监视或截获传输信息。铜缆线、无线很容易被监听或截获，而光缆最安全。,远程接入：必须明确用户需要的远程接入方式。通常有拨号接入、无线接入或卫星接入，用户是在同一城市还是在世界各地？,节约成本：用现存的线缆网卡可行吗？,需求向物理介质映射特点,对物理层的需求了解清楚后，可以进行物理介质和网卡的选择了,物理介质：,物理介质对照表,要素,双绞线,光纤,细缆,粗缆,无线,距离,较短,较长,适中,适中,适中,(,视距传播,),抗干扰性,低（,UTP,）,适中（,STP,）,非常高,适中,低,安装难易,简单,专业人员,简单,专业人员,微波专业安装人员,费用,低,高,较低,较低,高,拓扑结构,总线、星型、环型,星型,总线,总线,-,MAC,协议,以太网、令牌环、,CDDI,FDDI,、,ATM,、,SONET,、以太网,以太网、令牌总线,以太网、令牌总线,以太网、令牌网、,FDDI,数据速率,100Mbps,100Mbps,100Mbps,10Mbps,微波：,5.7Mbps,；扩频：,1-2Mbps,物理介质的选择依赖于,MAC,协议的选定：,物理层规范表,类型,信令,技术,物理介质,速率,M bps,最大分段,距离,(m),最大,分段数,最大,中继器数,最大中继器间距离,(km),802.3,10BASE5,粗缆,基带,50,粗同轴电缆,10,500,100,4,2.4,802.3,10BASE2,细缆,基带,50,细同轴电缆,10,200,30,4,0.9,802.3,10BASET,双绞线,基带,非屏蔽双绞线,10,100,-,-,-,802.3,10BROAD36CATV,缆,宽带,75CATV,同轴电缆,10,3600,-,-,3.6,FDDI,调幅,光缆,100,1000,2,802.5,屏蔽令牌环,曼码,光缆,16,300,12,0.2,802.5,非屏蔽令牌环,曼码,光缆,14,100,2,0.12,网卡,网卡特征表,指标,特征值,所支持的,LAN,以太网、快速以太网、千兆以太网、,FDDI,、,ISDN,、,Arcnet,、令牌环、,所支持的计算机总线,MCA,、,ISA,、,EISA,、,PCI,、,NuBus,、,VME,、,USB,RAM,缓冲,K,（,b/s,）,8,，,16,，,32,总线大小,(,位,),8,，,16,，,32,数据速率,4,10,16,100 Mb/s; 1Gb/s,介质类型,10BASE2,、,10BASET,、,UTP,、,STP,、光缆,所支持的旧版本,Vines,、,NetWare,、,AppleTalk,等,价格,/,功能,参看供应商的说明书,4.3 网络设备的考虑,逻辑网络设计必须指定连接,LAN,各端或者跨区域的多个,LAN,连接的设备类型。这些设备都要联合工作。本节主要说明这些设备如何协同工作的。,学习目标,弄懂路由器与交换机之间的区别；,叙述路由器与交换机在隔离网络方面是如何协同工作的；,说明物理网络组件逻辑网络组件之间的区别。,知识重点,网络可用交换机和（或）路由器进行分割。,用交换机和路由器设计网络,网络设计常常组合使用这两种设备，建立高性能、可升级性网络。,用交换机和路由器划分子网：,交换机工作在第二层，划分子网的目的是,提供附加带宽,；,路由器工作在第三层，划分子网的目的是,限制广播通信，并提供网络安全和控制单个广播域内的冗余,。,示例环境：,以工作组环境为例。所谓工作组，就是共享计算机资源的用户集合。工作组中计算机数量可多可少，计算机之间物理位置可近可远，但组成成员的计算机固定。,下图就是一个工作组环境。通常工作组是先于网络设备安装的。图中只有两个集线器，实际工作组可能包含,10-20,个集线器。,在这个例子中，网管想利用服务器可用的最大带宽，将,PC,机分成更小的冲突域来共享,10 Mb/s,的接入带宽，只有有限的特权用户才需要,10 Mb/s,的带宽用于运行程序。要实现这一目标，网管就要判断是安装交换机还是路由器，以消除日益增长的服务器瓶颈。,示例环境：典型的集线器工作组,工作组,1,工作组,2,集线器,集线器,服务器,服务器,路由器方案：,路由器通过专用高速接口与服务器相连；通过以太网接口与每个集线器相连。,优点：将一个大的广播,/,冲突域分解成了多个小型的广播,/,冲突域。使得小区域中接点间的流量大大提高。,缺点：和交换机相比，路由器价格更贵；算法复杂，时间代价更大。,实际上网管不会认同这种费钱、费时的方案。,路由器实现方案,工作组,1,工作组,2,集线器,集线器,服务器,服务器,路由器,交换机方案：,在交换环境中，一个广播域被分成,4,个独立的,10Mbps,的冲突域，给服务器分配了,10Mbps,的接入，消除了这些接点之间的访问竞争。特权用户可以直接接入交换机,.,本地服务器也提供高速接口，与交换机高速接口想匹配，消除了可能出现的瓶颈。例如，以太网中,5,个,10 Mbps,的交换机口以每秒,4000,帧,(FPS),的速率向服务器发送,64,字节（,8,位）的数据帧，服务器的端的总负荷是,20000 FPS,。这远远超过了标准以太网对,64,字节（,8,位）数据帧的,14880 FPS,的限制，若服务器安装,100 Mbps,快速以太网卡，这个问题随之消除。因为此网卡对,64,字节数据帧能达到,148800 FPS,的速率。,交换机实现方案,工作组,1,工作组,2,集线器,集线器,交换机,服务器,服务器,如果工作组需要访问位于数据中心堆叠式的主干设备，就需要在交换机上添加另一个高速下行链路模块。,由于高速技术的影响主要体现在主干网和数据中心，工作组交换机应当应用这一技术为网络的增长提供平稳的升级方案。,优点：,价格比路由器便宜；,运行速度快；,方案简单，维护管理方便。随着网络设备数量增加，减少复杂设备、增加简单设备带来的管理、维护方便的优点更加突出。,部门工作组：由多个小型工作组构成的大型工作组。如下图示。,下图中，由小型交换机组网部门工作组，分为,3,个独立的冲突域。如果服务器需要更大的带宽，连接部门服务器的集线器可以换成低成本的,10 Mb/s,的交换机。,用模块化的部门交换机组件可以将各自分割独立的数个工作组组成大型工作组。这些交换机组件提供包括以太网、,FDDI,、,ATM,的高速接口。利用部门交换机和共享高速接口，所有的用户都可以访问部门服务器。,高端工作组交换机可以提供单个工作组交换机功能、先进的交换技术、宽裕的性能指标、模块化的多种功能和升级能力。,总之，部门,级交换机是管理一,层楼或整个建筑物,范围的工作组设备。,部门工作组,工作组,1,工作组,2,部门服务器,集线器,集线器,集线器,服务器,服务器,服务器,交换机,考虑广播数据流：交换环境会产生大量的广播数据流和多播数据流。有些协议,(,如,IP,协议,),只产生一定量的广播数据流；而有些协议,(,如,IPX,协议,),要大量利用,RIP,协议和,SAP,协议的广播数据流。,限制的方法是，设计部门工作组网络时，组内计算机数量不能过多。应该考虑如下因素：,网络性能；,故障分隔；,广播数据流对节点,CPU,运行的影响；,网络安全。,一般来说，,100-200,个用户的交换工作组中广播数据流不是很严重的问题，除非使用了某些性能不理想的协议或网络负荷陡增。,“广播抑压”技术：有些交换机生产商采用“广播抑压,”(broadcast throttle),技术来限制交换机广播帧的传输量。原理是在每个指定的时间段内，对通过交换机的广播数据帧或多播数据帧进行计数，一旦达到计数门限，随后的广播帧或多播帧就不能通过交换机，除非从下一个时间段开始计数。,在大型交换网中，广播数据流和多播数据流对某些网络设备的影响非常大。,物理分割：,为消除交换机组网的广播流过大的问题，可以用路由器将网络进行物理划分。使原来共处一个广播域的网络划分成几个广播域。下图用路由器作为部门工作组的顶级网络设备，下面连三个交换机，服务器分散到各自的工作组内，这样就使得共处一个广播域的各个工作组分成了三个独立的工作组。从而消除了广播风暴对整个网络的负面影响。,这种物理分割的效果在于，大量的信息流只在工作组内交流，而经过路由器交换转发的组间信息流大量减少，路由器的低吞吐量就显得不明显了。,物理分割,工作组,1,工作组,3,路由器,交换机,服务器,交换机,服务器,交换机,服务器,工作组,2,逻辑分割：,划分子网更为灵活的方法是用交换机构造相互独立的物理工作组，然后用,VLAN,技术在个子网中灵活地选择任意的计算机组成逻辑子网。减少了因为挪动节点到另外一个子网带来的劳动成本。,如果节点要进行广播或多点传输，信息只传输到位于源站点的,VLAN,端口。每个交换机端口都配置在,VLAN1,和,VLAN2,中。,VLAN,之间的信息由路由器传播。,这样的组网既保证安全，又便于网络管理。,智能交换机,终端交换机,服务器,路由器,终端交换机,工作组,1,工作组,2,用路由器和,VLAN,进行逻辑分割,服务器,主干网设备的实现：,是否选择堆叠式设备？主干网核心设备的选择，影响整个网络工程的成本和性能。堆叠式的主干设备可能是一台交换机，也可能是一台路由器。堆叠式的主干设备的优点在于，集中复杂性，提高了整体性能，减少成本，支持服务器组模型，管理集中。缺点在于，成为性能瓶颈，一旦崩溃，整个网络瘫痪。,选择交换机还是路由器？如果网干的功能仅仅是性能要求，就选择一台交换机。因为交换机以线缆速度进行数据包传输并且价格便宜；若性能与安全并举，就选择路由器。路由器虽然贵，但得到了控制手段，保障了安全，还留有冗余。限制了广播流量。,4.4 网络拓扑结构考虑,网络的拓扑结构有很多类型，但层次化网络设计是我们的首选。为什么把网络设计为层次化呢？,在一个大型非层次化网络中，当网络设备与其它设备通信时，网络上广播数据包会产生负担。广播数据包会在广播域内的每一台设备的,CPU,产生中断，这些设备必须安装能处理该数据包的协议并花费大量时间。,非层次化的另一个问题是，,CPU,需要承载路由器与其他路由器之间的通信。而层次化网络设计方法允许设计模块化的拓扑结构限制通信路由器数量。,层次化设计的模块化特性允许在层次结构的每一层进行精确的容量规划，以减少带宽浪费。,层次化设计使网络易于改变。当网络的局部发生变化时，升级的成本限制在很小的局部网络中。而大型平面或网状网络，网络的改变会影响系统的许多部分。,当可扩展性是主要目标时，推荐使用层次化拓扑结构，因为它很容易扩展。,现今的快速收敛路由选择协议都是为层次化拓扑结构设计的。,平面广域网拓扑结构,一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器，通过点到点链路与其他站点相连（下左图）。这种结构的特点是成本低。,这种结构在环路相反方向的路由器之间要经历许多跳，延迟和出错率增高。如果流量分析显示环路拓扑中相反方向的流量加大了，就应该选择层次化拓扑结构了（下右图）。这种结构的好处是可扩展性好，延迟低，可用性高。,公司总部,销售公司,市区老厂,郊区工厂,平面环路拓扑,层次化拓扑,公司总部,销售公司,郊区工厂,市区老厂,平面局域网拓扑结构,在局域网中使用层次化结构，我们将,PC,机和服务器连接到交换机上，可以把路由器添加到局域网中，将整个局域网分割成多个广播域，减少广播辐射的影响。,同时，层次化结构中，高端交换机为高流量提供最大的带宽，低端交换机提供廉价的接入。,网状拓扑结构,可靠性高是网状结构的显著优点，但成本高昂、维护难度大，升级困难的缺点也很郁闷。网状结构对于广播路由选择更新或路由通告的邻接路由器有限制。随着邻接路由器的增加，更新进程占用的带宽和,CPU,资源也随之增加。,层次化结构的设计从物理拓扑上就限制了邻接路由器的数量，软件上就不需要限制。并且，网络崩溃而重建路由的代价小得多。,路由器,路由器,路由器,路由器,部分网状结构,路由器,路由器,路由器,路由器,全网状结构,三层层次化结构模型,网络层次化模型一般分为三层结构：,核心层：网络的高速主干，设计的考虑是高速率、高可靠性。选择高速率、低延迟的路由器机作为主干设备，选择冗余链路和冗余设备作为高可靠的保证。,分布层：常在此进行对资源访问的控制，对通过核心层流量的控制，以及,VLAN,的配置。,分布层可以在高带宽的接入层路由选择协议和优化的核心层路由选择协议之间重新分发路由。,分布层应该向核心路由器隐蔽接入层的详细拓扑结构信息，只向核心层通告少量的接入层信息。,接入层：为用户提供访问互连网的能力。该层设备主要考虑低成本、满足用户需求的带宽。,中国科大校园网主干示意图,层次化网络设计原则,原则一,：控制网络层次的加大，一般有三个层次就够了，否则延迟加大。常见的设计错误，是在接入层增加一条链路，或增加一个后门。增加一条链路的结果是使网络增加了一个第,4,层，它使延迟增加；所谓后门是指同一层设备之间的一个连接，它引起不可预知的路由选择和交换。,尽管有一些合理的理由需要增加一条链接或后门，但应尽量避免。,原则二：,首先设计接入层，然后是分布层，最后才是核心层。从接入层开始，可以精确地为分布层和核心层进行容量规划。,增加一条链路,分布层设备,接入层,交换机,服务器,接入层,交换机,接入层,交换机,服务器,增加一个后门,园区网拓扑结构的考虑,园区网拓扑结构具有低带宽、小广播域、冗余、镜像服务器、扩展频繁等特色。园区网应设计成层次化结构，以适应这些要求。,园区网应具有交换式骨干网，连接园区的各个大楼。大容量的服务器群直接连接在骨干网上。园区网络设计中，网管是很重要的部分，应提供对网络设备的维护、监测入口。从功能上划分，园区网包括：,园区基础设施模块；,服务器群组；,网络管理模块；,边界互连模块。,见右图示。,网络管理模块,服务器群组,服务器,服务器,服务器,楼层接入,园区骨干,建筑物分布,园区基础设施模块,边界分布模块,因特网,连接,电子,商务,VPN,WAN,ISP A,ISP B,PSTN,FR,ATM,ISP,边界,园区网络功能模型,生成树STP产生的原因路径回环,LAN 1,LAN 2,1,1,1,1,2,2,2,3,3,3,引入生成树协议(STP),通过阻断冗余链路来消除桥接网络中可能存在的路径回环,当前活动路径发生故障时激活冗余备份链路恢复网络连通性,ROOT,LAN A,LAN C,LAN E,LAN B,LAN D,生成树协议的基本原理,基本思想：在交换机之间传递特殊的消息（配置消息），包含足够的信息做以下工作：,从网络中的所有交换机中，选出一个作为根网桥（,Root,）,计算本交换机到根网桥的最短路径,对每个,LAN,，选出离根桥最近的那个交换机作为指定网桥，负责所在,LAN,上的数据转发,交换机选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径,选择除根端口之外的包含于生成树上的端口（指定端口）,桥协议数据单元,的内容,桥协议数据单元（,BPDU,）也被称作配置消息,主要内容包括,根网桥的,Identifier,（,RootID,）,从指定网桥到根网桥的最小路径开销（,RootPathCost,）,指定网桥的,Identifier,指定网桥的指定端口的,Identifier,即（,RootID,，,RootPathCost,，,DesignatedBridgeID,，,DesignatedPortID,）,桥协议数据单元,格式,DMA,LLC Header,SMA,L/T,Payload,DMA:,目的,MAC,地址,配置消息的目的地址是一个固定的桥,的组播地址（,0x0180c2000000,）,SMA:,源,MAC,地址,即发送该配置消息的桥,MAC,地址,L/T:,帧长,LLC Header:,配置消息固定的链路头,Payload:BPDU,数据,值 域,占用字节,协议,ID,2,协议版本,BPDU,类型,标志位,根桥,ID,根路径开销,指定桥,ID,指定端口,ID,Message Age,1,1,1,8,4,8,2,2,Max Age,Hello Time,Forward Delay,2,2,2,桥协议数据单元,的处理,将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有：,选择根网桥,RootID,：最优配置消息的,RootID,计算到根桥的最短路径开销,RootPathCost,：如果自己是根桥，则最短路径开销为,0,，否则为它所收到的最优配置消息的,RootPathCost,与收到该配置消息的端口开销之和,选择根端口,RootPort,：如果自己是根桥，则根端口为,0,，否则根端口为收到最优配置消息的那个端口,选择指定端口：包括在生成树上处于转发状态的其它端口,从指定端口发送新的配置消息,如何确定最优的,桥协议数据单元,配置消息的优先级比较原则：,假定有两条配置消息,C1,和,C2,，则：,如果,C1,的,RootID,小于,C2,的,RootID,，则,C1,优于,C2,如果,C1,和,C2,的,RootID,相同，但,C1,的,RootPathCost,小于,C2,，则,C1,优于,C2,如果,C1,和,C2,的,RootID,和,RootPathCost,相同，但,C1,的,TransmitID,小于,C2,，则,C1,优于,C2,如果,C1,和,C2,的,RootID,、,RootPathCost,和,TransimitId,相同，但,C1,的,PortID,小于,C2,，则,C1,优于,C2,生成树协议的不足,端口从阻塞状态进入转发状态必须经历两倍的,Forward Delay,时间，所以网络拓扑结构改变之后需要至少两倍的,Forward Delay,时间，才能恢复连通性,如果网络中的拓扑结构变化频繁，网络会频繁的失去连通性，这样用户就会无法忍受。,快速生成树协议,快速生成树协议是从生成树协议发展而来，实现的基本思想一致；,快速生成树具备生成树的所有功能；,快速生成树改进目的就是当网络拓扑结构发生变化时，尽可能快的恢复网络的连通性。,快速生成树的改进一,如果旧的根端口已经进入阻塞状态，而且与新根端口连接的对端交换机的指定端口处于,Forwarding,状态时，则在新拓扑结构中的根端口可以立刻进入转发状态，。,TO ROOT,LAN B,LAN A,LAN A,F,F,指定端口,指定端口,旧根端口,阻塞端口,F,TO ROOT,LAN B,LAN A,LAN A,F,F,指定端口,指定端口,新根端口,阻塞端口,F,快速生成树的改进二,指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。,LAN B,LAN A,F,指定端口,根端口,握手请求,握手响应,1,2,3,4,两点注意,:,握手必须在点对点链路的条件下进行,一次握手之后，响应握手的网桥的非边缘指定端口将变为,blocking,状态，则需要继续向自己的邻接网桥发起握手,LAN A,LAN B,LAN C,LAN A,F,指定端口,指定端口,指定端口,F,F,非点到点链路,握手的扩散,快速生成树的改进三,网络边缘的端口，即直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。,LAN B,LAN C,LAN A,根端口,边缘端口,LAN D,F,TO ROOT,阻塞端口,快速生成树的性能,第一种改进的效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。,第二种改进的效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为,7,的时候，要经过,6,次握手。,第三种改进的效果：边缘端口的状态变化不影响网络连通性，也不会造成回路，所以进入转发状态无需延时。,快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题,4.5 网络管理的考虑,网络管理就是对网络进行维护、控制、财务核算以及排除网络及其设备故障。有很多用于远程管理网络组件的软件和硬件解决方案，它们大多建立在,SNMP,协议之上。远程网络管理（,RMON,）具有附加功能和更高的效率。,网络管理目的：,减少停机时间，改进响应时间，提高设备利用率,减少运行费用，提高效率,减少,/,消灭网络瓶颈,适应性技术,容易使用,安全,学习目标：掌握,SNMP,协议的主要优缺点；,RMON,是如何解决这些缺点的。,关键知识：网络管理主要是对网络进行超前管理。,SNMP的局限性,SNMP(,简单网络管理协议,),是一种广为执行的网络协议，它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据，如所收到的字节数，并把这些数据记录到一个管理信息库,(MIB),中。网管员通过向代理的,MIB,发出查询信号可以得到这些信息，这个过程叫轮询,(polling),。 虽然,MIB,计数器将统计数据的总和记录下来了，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率，管理人员必须不断地轮询,SNMP,代理，一天中每分钟就轮询一次。这样，网管员可以使用,SNMP,来评价网络的运行状况，并揭示出通信的趋势，如哪一个网段接近通信负载的最大能力或不必要地正使通信出错。先进的,SNMP,网管站甚至可以进行编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。,传统,SNMP,模型在大型,LAN,的布局有如下的局限性：,它没有伸缩性。在大型的网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤情况的发生。,它将收集数据的负担加在网络管理控制台上。管理站也许能轻松地收集,8,个网段的信息，当它们监控,48,个网段时，恐怕就应付不下来。,管理员与客户间通信,网管工作站,受控,服务器,受控工作站,流量监视器,路由器,代理软件,代理软件,代理软件,管理软件,链路,A,链路,B,链路,A,：运行中,链路,B,：已中断,发送链路状态,远程监控（RMON）,SNMP,标准基本功能集最重要增强功能是,RMON,。与,SNMP,类似，,RMON,是基于客户机,/,服务器结构的。见下图示。,RMON,代理的功能类似于服务器，通过探测来维护历史统计数据，亦称为探测器。代理的这种附加功能免除了,NMS,定期发送调查测试来建立网络运行趋势历史记录的需要。,RMON,代理可作为单机设备（带有专用,CPU,和内存）配置。也可嵌入集线器、交换机或者路由器中。例如，,3Com,系统的,LAN,交换机配线就在每个交换机中安装有相应软件来跟踪流经的流量，并在,MIB,中记录，通过图形用户界面（,GUI,）向管理员提供信息。,远程管理与探测器通信,NMS,RMON,客户机,管理程序轮询，发送历史记录,代理响应,(,历史记录表,),RMON,MIB,计数器,本地,历史,网络设备,RMON,服务器,分析,工具,NMS,作为客户机运行，它组织和分析由探测器诊断到的网络故障数据。,NMS,和分布式,RMON,探测器之间的通信采用,SNMP,进行，它提供了远程网络分析的基础。,RMON,统计数据存档能力是的管理员可以为网络运行开发基线模型。基线模型确立并配置好后，管理员可以确定网段正常运行状态的阈值，用于监视网段流量。当流量超过该阈值时，探测器就会给,NMS,发出警告。,NMS,接到警告后，激活高级,RMON,性能来诊断该故障。例如，,RMON,内的,HostTopN,组可以确定是哪个主机在处理网段内的大部分对话，与谁进行对话，对话人是在本网段内还是在,Intranet,内。利用这些信息，管理员可用主机组的某个指定的主机来响应这个警告。,当然，,RMON,中数据包截获组和过滤器用探测器将数据包截获，并利用协议分析仪来辅助解决这种异常情况。,RMON,性能：与传统的,SNMP,相比，,RMON,是较高级的,Intranet,管理工具。其特点表现为：,RMON,极大地降低了网络管理的流量。由于,WAN,通道带宽比,LAN,链路带宽小得多，网管应充分利用,RMON,探测器实施网管，而不是利用,SNMP,进行调查测试。以将宝贵的,WAN,带宽留给用户传输数据。,RMON,提供有关整个网络的信息，例如所有网络设备、服务器、应用程序和所有用户。,RMON MIB,：,Internet,工程特别小组,(IETF),于,1991,年,11,月公布了,RMON MIB,来解决,SNMP,在日益扩大的分布式网络中所面临的局限性。实现了对异构环境进行一致的远程管理，它为通过端口远程监视网段提供了合适的解决方案。,RMON,是对,SNMP,标准的扩展，定义了标准功能以及在基于,SNMP,管理站和远程监控者之间的接口，主要实现对一个网段乃至整个网络的数据流量的监视功能，目前已成为成功的网络管理标准之一。,RMON MIB,特点,可以记录某些网络事件，即使在网络管理站没有与监控设备主动进行联接（脱机）的情况下，也同样可以完成记录。,可以用于记录网络性能数据和故障历史，可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了管理者同代理间的通信流量，使简单而有力地管理大型互联网络成为可能。,RMON,的一个重要的优点还在于它与现存的,SNMP,框架相兼容，不需对该协议进行任何修改。,RMON MIB,如何收集数据：,一种是通过专用的,RMON,探测仪（,Probe,），网管站直接从探测仪获取管理信息并控制网络资源，这种方式可以获取,RMON MIB,的全部信息；,另一种方法是将,RMON,代理直接植入网络设备（路由器、交换机、,Hub,等）使它们成为带,RMON Probe,功能的网络设施，网管站用,SNMP,的基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一般不能获取,RMON MIB,的所有数据，大多数只收集四个组的信息。,RMON MIB,功能组,RMON,提供的信息可以进行较,SNMP MIB,更为全面的网络管理，标准的,RMON MIB,功能可以划分为十个组：,统计累计的局域网通信和故障统计数据；,历史进行趋势分析的区间抽样统计数据；,报警确定阀值；,主机由介质访问控制地址,(MAC),组成的统计数据；,HostTop N,按,MAC,地址排序的统计数据；,矩阵所追踪的两个设备之间的对话；,事件对报警信号所引起的操作进行控制的机制；,过滤器数据包选择机制；,包捕获数据包收集和上载机制；,令牌环针对令牌环设备的特殊参数，包括环站、环站次序、环站配置、源路由统计数据。,RMON2 MIB,在,RMON,基础上产生的,RMON2,标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而除了能监控网络通信与容量外，,RMON2,还提供有关各应用所使用的网络带宽量的信息，这也是在客户机,/,服务器环境中进行故障排除的重要因素。,RMON,在网络中查找物理故障，,RMON2,进行的则是更高层次的观察，它监控实际的网络使用模式。,RMON,探测器观察的是由一个路由器流向另一个路由器的数据包，而,RNOM2,则深入到内部，它观察的是哪一个服务器发送数据包，哪一个用户预定要接受这一数据包，这一数据包表示何种应用。网管员能够使用这种信息，按照应用带宽和响应时间要求来区分用户，就像过去他们使用网络地址生成工作组一样。,RMON II,没有取代,RMON,，而是它的补充技术。,RMON II,在,RMON,标准基础上提供一种新层次的诊断和监控功能。事实上，,RMON II,能够监控执行,RMON,标准的设备所发出的意外事件报警信号。,RMON,与,RMON2,的网络管理着眼点,网络管理问题,相关,OSI,层,管理标准,物理故障与利用,介质访问控制层,(MAC),RMON,局域网网段,数据链路层,RMON,网络互连,网络层,RMON 2,应用程序的使用,应用层,RMON 2,RMON,和,RMON2,所支持的协议层,应用层,表示层,会话层,运输层,网络层,数据链路层,物理层,Monitored By,RMON2,RMON,OSI Model,用RMON/RMON2 监控LAN流量,确定关键网段：要想用,RMON/RMON2,对,LAN,进行交互式管理，设计者必须,首先确定哪个网段对网络的运行起关键作用,。一般来说，主干网、重要工作组、交换机到交换机链路、服务器所在的网段等都是重要的关键网段。,确定关键位置：若决定这些关键网段全部采用,RMON/RMON2,设备进行管理，应当,安装在最关键的位置,。,制定管理方案：后制定一个方案，保证,RMON/RMON2,所接收的统计数据和通信信息来自网络中的合适位置（即网卡、网络设备、单机探测器等）。客户应用程序可运行在专用管理工作站、,MS Windows,工作站和网站上。对收集的数据进行解释，然后发给网络管理组。,网管可以监控每个,WAN,链路、交换机端口和,VLAN,。,监视交换环境,在交换环境中，数据包按要求只传向指定的端口。许多数据包都会经过探测器。网管主要用下列技术之一来提供,RMON,管理：,在每个交换端口上配置一定量的,RMON,组；,应用统计采样技术；,使用滚动分析端口可以全部覆盖选择的端口。,用RMON/RMON2 监控WAN流量,除了简单的通信故障排除外，网管希望在,WAN,昂贵的带宽让客户充分地利用，,WAN,超负荷运转可导致错误增加、性能下降。,RMON WAN,探测器：由于,WAN,探测器监控标准不包括数据链路层，这就意味着,RMON WAN,监控标准是建立在专用所有权技术之上的，不能与其它探测器共同使用。但它能够以清晰易懂的图描绘出数据链路层和带宽利用率，并保存有关基于,IP,地址的点对点通信的信息。,RMON2 WAN,探测器：虽然,RMON2,监测工具也是专用的，但它是为,WAN,数据链路层检测流量的优良工具。它能使网管运用应用程序而不是通过技术规范来调整网络吞吐量。下图中，,RMON2,探测器防在承担,WAN,范围流量的共享,LAN,网段上，探测器可看到多有进出的信息，并能为整个,Intranet,提供高层协议分析。,RMON2 WAN,探测器,RMON2,探测器,路由器,WAN,路由器,4.6 TCP/IP寻址的考虑,由于,Internet,连接的需求，许多,NOS,支持桌面级的,TCP/IP,寻址。在任何网络设计中，,TCP/IP,寻址策略是一个不可轻视的设计重点。本节重点：,一般路由和子网设计；,无类别域间路由选择,(CIDR),；,变长子网划分。,学习目标,解释经典子网的工作原理；,叙述,IP,寻址的缺点，新的寻址策略如何解决这个问题,知识关键点,不同的,TCP/IP,寻址策略可限制,IP,地址扩展,IPv4 地址的考虑,第四版本的,IP,地址用点分十进制数（,Dotted decimal notation,）表示，共,32,位。分为,5,类,IP,地址，分别为,A,类、,B,类、,C,类、,D,类和,E,类。,A,类地址用于大型网络，,B,类地址用于中型网络，,C,类地址用于小型网络，,D,类地址用于广播寻址，,E,类地址保留未用。,IP,地址包括两部分组成：网络地址和主机地址（也成为网络号和主机号）。,IPv4,地址分类,地址类别,标志,网络号比特数,主机号比特数,首字节数字范围,A,类,首位为,0,7,24,1,126,B,类,首两位为,10,14,16,128,191,C,类,首三位为,110,21,8,192,223,D,类,首四位为,1110,广播地址,224,239,E,类,首五位为,11110,保留未用,240,247,特殊的,IP,地址,：它表示的是，所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一律送进去。如果你在网络设置中设置了缺省网关，那么,Windows,系统会自动产生一个目的地址为的缺省路由。,：限制广播地址。对本机来说，这个地址指本网段内,(,同一广播域,),的所有主机。这个地址不能被路由器转发。,：回绕地址，主要用于测试。用汉语表示，就是,“,我自己,”,。在,Windows,中，这个地址有一个别名,“Localhost”,。寻址这样一个地址，是不能把它发到网络接口的。,：组播地址，注意它和广播的区别。从到都是这样的地址。特指所有主机，特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了,IRDP (Internet,路由发现协议，使用组播功能,),功能，那么你的主机路由表中应该有这样一条路由。,：如果你的主机使用了,DHCP,功能自动获得一个,IP,地址，那么当你的,DHCP,服务器发生故障，或响应时间太长而超出了一个系统规定的时间，,Windows,系统会为你分配这样一个地址。如果发现主机,IP,地址是此类地址，很不幸，十有八九是网络不能正常运行了。,、,172.16,。,x,。,x,、：私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的,IP,地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入,Internet,时，要使用地址翻译,(NAT),，将私有地址翻译成公用合法地址。在,Internet,上，这类地址是不能出现的。,IP 子网,创建子网的目的,扩展网络。如果网络达到了物理限制，可以通过创建多个子网，这些子网只分配一个网络地址。以连接更多的主机。,减少竞争。同一网络中主机越多，需要带宽越大，创建子网减少每个网络的主机数，竞争也减少了。,减少,CPU,使用负载。网络中主机越多，产生的的广播帧越多。每个主机必须听网络广播，以便决定是否接收还是丢弃，这占用主机,CPU,。,隔离网络问题。通过将大网隔离成小网，限制子网对其它网络的影响。,有利于网络管理员对网络的管理。提高网络的安全性。,子网掩码,子网掩码是一位特殊的,32,位二进制数，它的格式与,IP,地址一样，但它用二进制中的,1,来代替,IP,地址的网络地址部分，用,0,来替代,IP,地址中的主机地址部分。,标准,A,类网的子网掩码为：,标准,B,类网的子网掩码为：,标准,C,类网的子网掩码为：,子网掩码的作用,子网掩码与,IP,地址结合使用，可以区分出一个,IP,地址的网络地址和主机地址。例如：有一个,C,类地址为：,，其子网掩码为：,。则它的网络号和主机号可按如下方法得到：,将,IP,地址,转换为二进制：,11000000 00001001 11001000 00001101,将子网掩码,255.255.255.0,转换为二进制：,11111111,11111111,11111111,00000000,将两个二进制数逻辑与（,AND,）运算后得出的结果即为网络部分：,11000000 00001001 11001000 00001101,AND11111111 11111111,11111111,00000000,11000000 00001001 11001000 00000000,结果为,，即网络地址为,。,将子网掩码取反再与,IP,地址逻辑与（,AND,）后得到的结果即为主机部分：,11000000 00001001 11001000 00001101,AND00000000 00000000,00000000,11111111,00000000,00000000,00000000,00001101,结果为,，即主机地址为,13,。,无类别域间路由（,CIDR,）,CIDR,是,ClasslessInterDomainRouting,的缩写,意为无类别的域间路由。它的思想是,:,把许多,C,类地址合起来作,B,类地址分配。具体地说,整个世界被分为四个地区,每个地区分配一段连续的,C,类地址：,欧 洲,北 美,中南美,亚 太,通过这种方式，每个地区拥有约,3200,万的地址，另有约,3200,万的地址,保留备用。这种分配方式的优点是很明显的,:,地址的分配是连续的；,CIDR,使路径表的设置更容易。,比如,在欧洲以外的一个路由器收到一个地址为,:,194.xx.yy.zz,或,的数据包,(packet),可以直接把它丢到通往欧洲的路径上而不用考虑,xx,yy,zz,的值是什么,.,当然,当这个,packet,到达欧洲后,还要进行更详细的路由,比如根据子网模把它发送到某个子网。,CIDR,的表示形式,声明一个,CIDR,网络的格式是,地址,/y,。,这里,地址,是,IPv4,或,IPv6,网络地址而,/y,是 网络掩码的二进制位数。 如果省略,/y,， 那么掩码部分用旧的有类的网络编号系统进行计算，但要求输入的数据已经包括了确定掩码的所需的所有字节。 如果声明了一个网络地址，它的指定掩码的右边置了位，那么算错误。,例如，表示,IP,地址中前,25,位是网络地址，后,7,位是主机地址；表示,IP,地址的前,17,位是网络地址，后,15,位是主机地址。,如何划分子网,子网划分技术，用来高效地将一个大型网络划分成多个子网，子网划分是将单播,IP,地址中主机地址的高几位分配给组织网络的子网，作为子网地址。,最初定义,IPv4,的子网划分是为了更好地利用,A,类和,B,类,IPv4,公用网络,ID,的主机位。请考虑下图示例网络。,此,B,类网络的，我们将它划分成三个子网。网络号这样处理：,将两字节主机地址的高字节的高,4,位用于新的子网地址，三个子网的子网掩码都是。每个子网的二进制编号分别是,0001,、,0010,、,0100,和,1000,，三个网络的网络号分别为：，和,当然，由于将主机地址的高,4,为用于了网络地址，每个子网的主机地址就由原来的,16,位变成了,12,位。,Internet,路由器,157.60.0.0/16,划分子网后的网络地址，,12,位,划分子网后的主机地址,网络地址,子网,主机地址,8,位,8,位,4,位,4,位,8,位,IP,地址设计中要考虑的事是，,申请,IP,地址；,申请域名；,是否将网络连入,Internet,；,要不要进行子网划分，,如果要，需将主机地址的前多少位作为子网地址；,确定各子网的掩码；,是采用静态,IP,地址分配还是动态,IP,地址分配；,是否采用,NAT,技术；,是否采用无类域间路由。,网络地址转换NAT,在,RFC1918,中，,IETF,为内部专用网预留了三段地址作为私有地址。,网络地址转换技术,(NAT),网络地址转换（,NAT,）是用于将一个地址域（如上面的私有,Intranet,地址）映射到另一个地址域（如：,Internet,）的标准方法。,NAT,允许一个机构内部使用私有,Intranet,地址，而与外部因特网交流数据时，用一个,IP,地址透明地连接到因特网中，机构内部主机无需拥有注册的,IP,地址。,聚合,在如下图所示拓扑结构中，无论是还是链接的失败，都会使路由器,H,重新计算路由表。那么怎样设计才能使核心层路由器,H,不受接入层链接变化的影响呢？聚合是有效的方法，在分布层路由器,G,上把、和聚合成一条路径，并把这一,聚合路径只传递给路由器,H,。,通过聚合，路由器,H,的路由表,就可以不再包括路由器,G,左侧,的子网细节，路由器,G,左侧的,个别链接的改变将不再影响路,由器,H,的路由表。,另外，聚合减少了路由器,H,的路由表的路径数量，较小的路由表意味着较少的内存、较低的处理请求和更快的收敛过程。,聚合要遵循这样一条规则：只提供网络中必要的拓扑信息，而把不必要的信息隐藏起来。例如，核心层路由器将接入层的每一组目的地聚合为简短的前缀路由，并将之传送给核心层，不再向核心层传送大量的目的地信息。,IPv6 地址,表示方法：第六版本的,IP,地址用,8,段冒号分十六进制数表示，共,128,位。例如：,FEDC:BA98:7654:4210:FEDC:BA98:7654:3210 2001:0:0:0:0:8:800:201C:417A,每一组数值前面的,0,可以省略。如,0008,写成,8,。,压缩形式：,IPv6,地址会有包含长串,0,位的地址。可使用 “,:”,符号简化多个,0,位的,16,位组。 “,:”,符号在一个地址中只能出现一次。该符号也可以用来压缩地址中前部和尾部的,0,。举例如下：,FF01:0:0:0:0:0:0:101,可压缩成,FF01:101 (,多点传送地址,) 0:0:0:0:0:0:0:1,可压缩成,:1 (,回送地址,) 0:0:0:0:0:0:0:0,可压缩成,: (,未指定地址,),IPv4,和,IPv6,混合使用：表达方式为,X:X:X:X:X:X:D.D.D.D,，其中,X,是地址中,6,个高阶,16,位段的十六进制值，,D,是地址中,4,个低阶,8,位字段的十进制值（按照,IPv4,标准表示）。例如：下面两种嵌入,IPv4,地址的,IPv6,地址：,0:0:0:0:0:0:202.201.32.29,嵌入,IPv4,地址的,IPv6,地址，可缩写成,映射,IPv4,地址的,IPv6,地址 ，可缩写成,地址类型：,IPv6,中地址有三种类型：,单点传送（,Unicast,）：一个单接口标识符，送往单点传送地址的包将被传送到该地址所标识的接口上。,多点传送（,Multicast,）：一组接口（一般不属于不同节点）的标识符。送往一个任意点传送地址的包将被传送到该地址所标识的接口之一（根据路由协议中的距离的计算方法而确定的 “ 最近 ” 的一个）。,任意点传送（,Anycast,）：一组接口（一般不属于不同节点）的标识符。送往一个多点传送地址的包将被传送到该地址标识的所有接口上。,也有文献称之为单播、组播、泛播地址。,IPv6,中不再有象,IPv4,中那样的广播（,broadcast,）地址，它的功能由多点传送地址来实现。,对于,IPv6,的子网掩码，它位数放在掩码地址后面的，以,/,分隔，格式如下：,12AB:0000:0000:CD30:0000:0000:0000:0000/6012AB:0000:0000:CD30:/60,意思是地址的前,60,位用作地址的网络号部分。下面是一个,IPv6,地址和子网掩码地址：,11AC:0:0:CA20:123:4567:89AB:CDEF11AC:0:0:CA20:/60,常见的,IPv6,地址和前缀：,:/128,：即,0:0:0:0:0:0:0:0,，尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口。,:1/128,：即,0:0:0:0:0:0:0:1,，回环地址，相当于,ipv4,中的,localhost,（）。,2001:/16,：全球可聚合地址，由,IANA,按地域和,ISP,进行分配，是最常用的,IPv6,地址,2002:/16,：,6 to 4,地址，用于,6to4,自动构造隧道技术的地址,3ffe:/16,：早期开始的,IPv6 6bone,试验网 地址,注：上面后三个属于单播地址，是目前互联网上广泛应用的,IPv6,地址,fe80:/10,：本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发,ff00:/8,：组播地址,：其中,代表,ipv4,地址，兼容,IPv4,的,IPv6,地址。自动将,IPv6,包以隧道方式在,IPv4,网络中传送的,IPv4/IPv6,节点将使用这些地址,：其中,代表,ipv4,地址，例,:ffff:202.120.2.30,，是,IPv4,映射过来的,IPv6,地址，它是在不支持,IPv6,的网上用于表示,IPv4,节点,VLAN划分,VLAN是标准局域网的仿真，它允许数据的传输不会受到网络的传统物理结构限制。一个VLAN是属于同一个管理组的局域网设备。成员资格是由配置参数和管理策略决定的，而不是物理位置。一个VLAN中的成员可以相互通信，就好象连在同一条电缆和集线器上一样，而实际上它们属于不同的物理局域网段上。反之，两个属于不同VLAN的成员之间通信就好象它们属于不同的局域网段上，即使他们连接到同一台交换机上。因为VLAN是基于逻辑连接而不是物理连接的。因此管理、配置起来非常灵活。,用 VLAN划分逻辑边界,站点,1,站点,2,站点,3,广域网,虚拟工作组,1,虚拟工作组,2,VLAN,边界,VLAN的设计,同一交换机上不同,VLAN,要共享交换机、要争夺交换机的,CPU,和背板资源。,VLAN,对交换机和链路的共享可分为两种类型：,广播共享，即,VLAN,划定的广播域贯穿共享设备和链路,